AWS-Ausfall: Der Letzte macht das Licht aus

In der letzten Woche erlebten wir einen Ausfall der Amazon Web Services (AWS), bei dem mehrere Regionen – insbesondere in Europa und Teilen Nordamerikas – stundenlang vollständig offline waren. Betroffen waren nicht nur einzelne Websites oder Unternehmensanwendungen, sondern ganze Plattform- und Kommunikationsökosysteme. Dienste wie Zoom, Duolingo, Ring, Signal, behördliche Online-Portale und Steuerplattformen im Vereinigten Königreich waren über längere Zeit nicht oder nur eingeschränkt erreichbar. Auch zahlreiche Unternehmens-APIs, Payment-Systeme, Cloud-Backends und IoT-Dienste fielen aus. Der Vorfall zeigte uns, dass selbst ein regional begrenzter Fehler in der AWS-Infrastruktur (z. B. im Netzwerk-Backbone oder einem zentralen Identity-Cluster) globale Kaskadeneffekte auslösen kann. Systeme, die eigentlich in anderen Regionen liefen, waren über zentrale Abhängigkeiten – etwa Authentifizierungsdienste (IAM), DNS-Routing, Datenbankreplikationen oder Storage-Zugriffe – indirekt betroffen. Anwendungen, die als „redundant“ galten, scheiterten, weil sie auf dieselben internen Kontroll- oder Sicherheitsdienste zugriffen.

Die technische Ursache lag laut AWS in einer Kombination aus Routing-Fehlern, überlasteten internen Kontrollsystemen und fehlerhaften Fallback-Mechanismen, wodurch mehrere Regionen gleichzeitig isoliert wurden. Die Wiederherstellung erfolgte erst nach mehr als acht Stunden, wobei es in einigen Diensten noch Tage später zu Nachwirkungen kam. Besonders problematisch ist allerdings die erkennbare Abhängigkeit öffentlicher Dienste und kritischer Infrastrukturen, die auf Cloud-Komponenten der großen (US-)Hyperscaler aufbauen und damit ihre Verfügbarkeit an einen einzelnen Anbieter gebunden hatten.

Politisch-strukturelle Dimension

Tatsächlich darf man diesen Vorfall nicht als rein technischen Zwischenfall bewerten und abtun, sondern er ist ein Symptom einer strategischen Fehlentwicklung der letzten zehn Jahre. Viele Organisationen – angefangen bei den KMU*innen, über Konzerne bis zu öffentlichen Stellen – haben das Grundprinzip der System-Redundanz, das seit Jahrzehnten in der IT gilt, durch den vermeintlichen Cloud-Komfort verdrängt. Die Vorstellung, ein Hyperscaler wie Amazon sei „per se“ ausfallsicher, hat sich mal wieder als Illusion erwiesen.

Die Forderungen nach Multi-Cloud-Setups gehen so lange am Thema vorbei, wie diese erneut auf US-Hyperscaler setzen. Damit bleibt die Abhängigkeit von außereuropäischen Infrastrukturen bestehen. Europa ist durch diese Abhängigkeit geopolitisch verwundbar. Wenn Cloud-Dienste als politisches Druckmittel eingesetzt werden, werden ganze Verwaltungs- oder Wirtschaftssysteme lahmgelegt werden.

Beispiel: US-initiierte Dienstabschaltungen

Wer zweifelt, dass die aktuelle US-Regierung AWS, Azure und Google als politisches Druckmittel einsetzen könnte, belügt sich selbst und die Öffentlichkeit. Die US-Administration unter Präsident Trump sanktionierte im Februar 2025 den Chefankläger des Internationalen Strafgerichtshofs (IStGH), Karim Khan. Ziel war es, das Gericht zu zwingen, die Ermittlungen gegen israelische Übergriffe im Gazastreifen einzustellen. Daraufhin sperrte Microsoft den IStGH-Chefankläger aus.

Auch wer glaubt, durch die Nutzung eines in Europa oder Deutschland lokalisierten Rechenzentrums oder Datenspeichers seien Daten vor dem Zugriff durch die US-Regierung geschützt, irrt. Anton Carniaux, Chefjustiziar von Microsoft France, sagte bei einer Anhörung vor dem französischen Senat aus, dass Microsoft keine Garantie dafür geben kann, dass EU-Daten nie an die US-Regierung übermittelt werden.

Diese Aussage und Praxis zeigt also, wie schnell digitale Abhängigkeit zur politischen Machtfrage wird. Eine US-Regierung könnte durch administrative Anordnung Cloud-Dienste – etwa Microsoft 365, Google Workspace oder AWS-DNS-Zonen – einschränken, blockieren oder auf Daten zugreifen. Dies würde nicht nur wirtschaftliche Schäden verursachen, sondern auch die Funktionsfähigkeit europäischer Verwaltungen und kritischer Infrastrukturen gefährden.

Datenschutzrechtliche Bewertung

Der AWS-Ausfall legt offen, dass bestehende Datenschutzkontrollen strukturell unzureichend sind, um solche Risiken zu adressieren. Zwar erfüllen viele Organisationen formal die Anforderungen der DSGVO – verlassen sich auf den aktuell gültigen Angemessenheitsbeschluss der Europäischen Kommission, Standardvertragsklauseln und Auditverfahren –, doch diese bieten keinen wirksamen Schutz gegen extraterritoriale Zugriffe oder politische Eingriffe.

Technische Maßnahmen wie Verschlüsselung, Segmentierung, Data Residency und Zero-Trust-Architekturen können operative Risiken mindern, aber keine Hoheitsrechte ersetzen. Datenschutzrechtliche Kontrollen wirken nur innerhalb des Systems, nicht gegen es: Sie regulieren, wie Daten verarbeitet werden, nicht, wer die Macht über die Infrastruktur hat.

Echte Wirksamkeit kann daher nur durch europäische technologische Eigenständigkeit entstehen – also durch Cloud-Stacks, Verschlüsselungssysteme und Rechenzentren, die europäischer Gerichtsbarkeit unterliegen. Nur so lassen sich die datenschutzrechtlichen Grundprinzipien von Integrität, Verfügbarkeit und Vertraulichkeit (Art. 32 DSGVO) in einem geopolitischen Kontext absichern.

Fazit

Der AWS-Totalausfall war mehr als eine technische Panne – er war ein Realitätscheck für Europas digitale Souveränität. Datenschutzrechtliche Kontrollen, so wichtig sie im Tagesgeschäft sind, greifen zu kurz, wenn die Infrastruktur selbst fremdbestimmt ist. Die Abhängigkeit von Kontrolle außerhalb der EU ist nicht nur ein IT-Risiko, sondern auch ein demokratisches und menschenrechtliches Problem.

Wenn Europa seine digitale Zukunft sichern will, muss es Cloud-Infrastruktur, Rechtshoheit und Datenschutz in einem souveränen Gesamtkonzept denken – nicht als Compliance-Frage, sondern als strategische Investition in Unabhängigkeit, Sicherheit und Freiheitsrechte.

Weitere Links und Hinweise: